基于多元判定要素的p2p識別方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供了一種基于多元判定要素的P2P識別方法及系統(tǒng)�,其中的方法包括,通過HASH表分別記錄網(wǎng)絡(luò)會話中每個節(jié)點的IP要素���、IP_PORT要素和FLOW要素��;以IP_PORT要素為標(biāo)記條件�����,對IP_PORT要素�、與IP_PORT要素相關(guān)聯(lián)的IP要素��、以及IP_PORT要素所屬的FLOW要素所關(guān)聯(lián)的對端IP_PORT要素進行P2P標(biāo)記����;根據(jù)FLOW要素或者IP_PORT要素對網(wǎng)絡(luò)會話進行P2P識別,其中��,在一條網(wǎng)絡(luò)會話中����,如果FLOW要素或者IP_PORT要素與IP_PORT要素所屬的FLOW要素所關(guān)聯(lián)的對端IP_PORT要素均被標(biāo)記為P2P,則將網(wǎng)絡(luò)會話識別為P2P會話����。本發(fā)明通過結(jié)合多種判定要素,綜合網(wǎng)絡(luò)資源提供者和資源獲取者的相關(guān)特征�,能夠在多協(xié)議、多應(yīng)用流量集的實際網(wǎng)絡(luò)環(huán)境下���,提高P2P識別的準(zhǔn)確率�����。
【專利說明】基于多元判定要素的P2P識別方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)通信【技術(shù)領(lǐng)域】����,更為具體地���,涉及一種基于多元判定要素的P2P識別方法及系統(tǒng)�。
【背景技術(shù)】
[0002]隨著網(wǎng)絡(luò)的高速發(fā)展�����,各種通信模式應(yīng)運而生,P2P (Peer to Peer���,對等網(wǎng)絡(luò))作為一種低成本的組網(wǎng)通信模式���,被廣泛地應(yīng)用于各個企業(yè)的網(wǎng)絡(luò)運營中。
[0003]P2P也稱為對等連接��,是一種不同于傳統(tǒng)C/S (Client/Server,客戶端/服務(wù)器)的通信模式���。在P2P網(wǎng)絡(luò)中����,每個參與者具有同等的能力����,可以直接通信、共享資源和協(xié)同工作�。由于其應(yīng)用廣泛,流量規(guī)模龐大��,因此早已成為互聯(lián)網(wǎng)的主宰流量。然而在實際的應(yīng)用中����,如何識別和控制P2P流量,尤其是加密流量�����,已經(jīng)成為各個公司在網(wǎng)絡(luò)運營中所面臨的重大挑戰(zhàn)�����。
[0004]地址端口對分析技術(shù)是一種經(jīng)典的基于行為特征的P2P識別技術(shù)��,它的成功源于這樣一種認(rèn)識:在P2P網(wǎng)絡(luò)中�����,每個節(jié)點既是客戶機也是服務(wù)器���;為了能夠接受其他節(jié)點建立連接的請求,每個節(jié)點都需要廣播自己的IP地址和提供服務(wù)的端口�����,而為了與其他節(jié)點建立連接����,每個節(jié)點隨機選擇一個源端口���,使用自己的IP地址并利用其他節(jié)點所廣播的IP地址和端口對信息來建立連接。
[0005]由于每個節(jié)點與另外一個節(jié)點建立連接時����,不論是源節(jié)點還是目的節(jié)點,都使用隨機端口技術(shù)��,因此對于廣播了目的地址端口對的節(jié)點����,即P2P資源的提供者來說,與自己建立了連接的源IP地址數(shù)和源端口數(shù)應(yīng)大致相同��。相反����,其他應(yīng)用(如HTTP)與Web服務(wù)器建立連接時,不同源IP的節(jié)點會使用相同的端口進行連接����,所以其源IP數(shù)與源端口數(shù)有較大的差異。因此,可通過在單位時間內(nèi)某數(shù)據(jù)流的源IP數(shù)與源端口數(shù)大致相同來判斷該流量可能就是P2P流量�;而當(dāng)在單位時間內(nèi)某數(shù)據(jù)流的源端口數(shù)與源IP數(shù)相差很大時,則認(rèn)為是非P2P流量����。
[0006]地址端口對分析技術(shù)有效地利用了網(wǎng)絡(luò)流量中的(IP,P0RT)這一��。圖1示出了現(xiàn)有的地址端口對分析技術(shù)的流程��,如圖1所示:
[0007]SlOl:網(wǎng)絡(luò)流量包從源端口向目的端口輸入���;
[0008]S102:目的端口獲取相對應(yīng)的會話結(jié)構(gòu)體;
[0009]S103:判斷是否有相關(guān)的IP_P0RT被標(biāo)記為P2P��,如果是�,則進入S104,否則進入S105 �;
[0010]S104:標(biāo)記會話為P2P ;
[0011]S105:判斷獲取的相對應(yīng)的會話結(jié)構(gòu)體是否為會話的首包,如果是進入S106���,否則進入S107 ���;
[0012]S106:為源IP_P0RT添加目的端IP與PORT信息;
[0013]S107:判斷更新計時器是否超時,如果是進入S108����,否則進入SllO ;
[0014]S108:遍歷IP_P0RT表�,根據(jù)記錄的IP與PORT信息更新相關(guān)的P2P標(biāo)記,同時刪除超時的表結(jié)點��;
[0015]S109:重設(shè)更新計時器�����;
[0016]SllO:結(jié)束����,處理下一個數(shù)據(jù)包。
[0017]通過圖1所示的流程可以看出�����,地址端口對分析技術(shù)在無需應(yīng)用層數(shù)據(jù)信息的參與的情況下��,僅僅依賴于流量包的包頭信息�����,就能夠有效地實現(xiàn)復(fù)雜P2P流量(尤其是加密P2P流量)的判別。對于以UDP為主要通信協(xié)議�����、以超級節(jié)點作為通信中樞的P2P網(wǎng)絡(luò)來說�,其識別效果是比較理想的,且誤判率較低���。然而���,該技術(shù)的所有判定信息都體現(xiàn)在(IP,PORT)這一單一判定上,且往往只能判別出網(wǎng)絡(luò)資源提供者的相關(guān)特征�,而無法準(zhǔn)確識別資源獲取者的網(wǎng)絡(luò)信息。這種限制使其在多協(xié)議�、多應(yīng)用的流量集的實際網(wǎng)絡(luò)環(huán)境下��,識別的準(zhǔn)確度不高�����。
【發(fā)明內(nèi)容】
[0018]鑒于上述問題�,本發(fā)明的目的是提供一種基于多元判定要素的P2P識別方法及系統(tǒng),以提高在多協(xié)議�、多應(yīng)用流量集的實際網(wǎng)絡(luò)環(huán)境下的P2P識別的準(zhǔn)確率�。
[0019]根據(jù)本發(fā)明的一個方面�,提供一種基于多元判定要素的P2P識別方法,包括:
[0020]通過HASH表分別記錄網(wǎng)絡(luò)會話中每個節(jié)點的IP要素���、IP_P0RT要素和FLOW要素�,其中����,
[0021]IP要素包括源端IP與目的端IP ;
[0022]IP_P0RT要素包括源端IP_P0RT與目的端IP_P0RT ��;
[0023]FLOW要素包括源端IP�、目的端IP、源端的端口��、目的端的端口 ����;
[0024]以IP_P0RT要素為標(biāo)記條件,對IP_P0RT要素����、與IP_P0RT要素相關(guān)聯(lián)的IP要素、以及IP_P0RT要素所屬的FLOW要素所關(guān)聯(lián)的對端IP_P0RT要素進行P2P標(biāo)記����;其中�,根據(jù)IP要素的P2P標(biāo)記以及被標(biāo)記為P2P的IP要素在預(yù)設(shè)時間內(nèi)的連接數(shù)��,確定FLOW要素是否被標(biāo)記為P2P �;
[0025]根據(jù)FLOW要素或者IP_P0RT要素對網(wǎng)絡(luò)會話進行P2P識別;其中�����,在一條網(wǎng)絡(luò)會話中�����,如果FLOW要素或者IP_P0RT要素與IP_P0RT要素所屬的FLOW要素所關(guān)聯(lián)的對端IP_PORT要素均被標(biāo)記為P2P���,則將網(wǎng)絡(luò)會話識別為P2P會話���。
[0026]其中�����,通過預(yù)設(shè)的更新時間更新IP要素����、IP_P0RT要素和FLOW要素的P2P標(biāo)記��。
[0027]另一方面�����,本發(fā)明還提供一種基于多元判定要素的P2P識別系統(tǒng)��,包括:
[0028]記錄單元��,用于通過HASH表分別記錄網(wǎng)絡(luò)會話中每個節(jié)點的IP要素��、IP_P0RT要素和FLOW要素�����,其中�,
[0029]IP要素包括源端IP與目的端IP ��;
[0030]IP_P0RT要素包括源端IP_P0RT與目的端IP_P0RT ��;
[0031]FLOW要素包括源端IP���、目的端IP��、源端的端口��、目的端的端口 �����;
[0032]標(biāo)記單元��,用于以IP_P0RT要素為標(biāo)記條件���,對IP_P0RT要素����、與IP_P0RT要素相關(guān)聯(lián)的IP要素��、以及IP_P0RT要素所屬的FLOW要素所關(guān)聯(lián)的對端IP_P0RT要素進行P2P標(biāo)記�����;其中����,根據(jù)IP要素的P2P標(biāo)記以及被標(biāo)記為P2P的IP要素在預(yù)設(shè)時間內(nèi)的連接數(shù)����,確定FLOW要素是否被標(biāo)記為P2P �;
[0033]識別單元�,用于根據(jù)FLOW要素或者IP_P0RT要素對網(wǎng)絡(luò)會話進行P2P識別;其中�����,在一條網(wǎng)絡(luò)會話中���,如果FLOW要素或者IP_P0RT要素與IP_P0RT要素所屬的FLOW要素所關(guān)聯(lián)的對端IP_P0RT要素均被標(biāo)記為P2P��,則將網(wǎng)絡(luò)會話識別為P2P會話�����。
[0034]利用上述根據(jù)本發(fā)明的基于多元判定要素的P2P識別方法�,通過結(jié)合多種判定要素�,綜合網(wǎng)絡(luò)資源提供者和資源獲取者的相關(guān)特征,能夠在多協(xié)議�、多應(yīng)用流量集的實際網(wǎng)絡(luò)環(huán)境下,提高P2P識別的準(zhǔn)確率�����。
[0035]為了實現(xiàn)上述以及相關(guān)目的,本發(fā)明的一個或多個方面包括后面將詳細(xì)說明并在權(quán)利要求中特別指出的特征�����。下面的說明以及附圖詳細(xì)說明了本發(fā)明的某些示例性方面�����。然而���,這些方面指示的僅僅是可使用本發(fā)明的原理的各種方式中的一些方式�。此外���,本發(fā)明旨在包括所有這些方面以及它們的等同物����。
【專利附圖】
【附圖說明】
[0036]通過參考以下結(jié)合附圖的說明及權(quán)利要求書的內(nèi)容�,并且隨著對本發(fā)明的更全面理解,本發(fā)明的其它目的及結(jié)果將更加明白及易于理解�����。在附圖中:
[0037]圖1為現(xiàn)有的地址端口對分析技術(shù)的流程示意圖;
[0038]圖2為根據(jù)本發(fā)明實施例的基于多元判定要素的P2P識別方法流程示意圖�����;
[0039]圖3為根據(jù)本發(fā)明實施例的P2P識別流程示意圖��;
[0040]圖4為根據(jù)本發(fā)明實施例的基于多元判定要素的P2P識別系統(tǒng)的邏輯結(jié)構(gòu)框圖�����。
[0041]在所有附圖中相同的標(biāo)號指示相似或相應(yīng)的特征或功能�。
【具體實施方式】
[0042]以下將結(jié)合附圖對本發(fā)明的具體實施例進行詳細(xì)描述��。
[0043]針對前述現(xiàn)有的P2P識別的判定要素單一����,在多協(xié)議多應(yīng)用的流量集的實際網(wǎng)絡(luò)環(huán)境下識別準(zhǔn)確度不高的問題,本發(fā)明通過將P2P識別的判定要素進行擴展����,并將判定要素進行關(guān)聯(lián),使各判定要素信息有效地相互通信��,相互影響����,進而對網(wǎng)絡(luò)會話進行P2P識另O�����,以提高在多協(xié)議��、多應(yīng)用的流量集的實際網(wǎng)絡(luò)環(huán)境下的P2P識別的準(zhǔn)確率�。
[0044]為了說明本發(fā)明提供的基于多元判定要素的P2P識別方法����,圖2示出了根據(jù)本發(fā)明實施例的基于多元判定要素的P2P識別方法流程。
[0045]如圖2所示��,本發(fā)明提供的基于多元判定要素的P2P識別方法包括:
[0046]S210:通過HASH表分別記錄網(wǎng)絡(luò)會話中每個節(jié)點的IP要素��、IP_P0RT要素和FLOW要素����,其中,IP要素包括源端IP與目的端IP �;IP_P0RT要素包括源端IP_P0RT與目的端IP_PORT ;FL0W要素包括源端IP、目的端IP���、源端的端口�����、目的端的端口����。
[0047]具體地,為了打破單一判定要素的限制���,將原始的單一的P2P判定要素擴展至IP、IP_P0RT (IP+P0RT)和FLOW (源IP+目的IP+源端口 +目的端口)三種判定要素���。其中�����,對于一條網(wǎng)絡(luò)會話來說�,其關(guān)聯(lián)了一個FLOW要素�、兩個IP_P0RT要素與兩個IP要素。
[0048]也就是說���,在一條網(wǎng)絡(luò)會話中��,其關(guān)聯(lián)了五個要素��,即FLOW要素�、源端IP_P0RT、目的端IP_P0RT���、源端IP和目的端IP��。因此����,在數(shù)據(jù)結(jié)構(gòu)上���,通過HASH表分別記錄IP要素����、IP_P0RT要素和FLOW要素���,即用三張HASH表(表名分別為IP要素表����、IP_P0RT要素表和FLOW要素表)分別記錄這三種判定要素的信息�����。其中,IP要素包括源端IP與目的端IP ��;ip_port要素包括源端IP_P0RT與目的端IP_P0RT ����;FL0ff要素包括源端IP、目的端IP����、源端的端口、目的端的端口���。
[0049]也就是說,在分別記錄上述三種判定要素的過程中����,IP要素表記錄源端IP與目的端IP的信息;IP_P0RT要素表記錄源端IP_P0RT與目的端IP_P0RT的信息����;FL0W要素表記錄源端IP、目的端IP����、源端的端口���、目的端的端口信息。
[0050]S220:以IP_P0RT要素為標(biāo)記條件���,對IP_P0RT要素��、與IP_P0RT要素相關(guān)聯(lián)的IP要素��、以及IP_P0RT要素所屬的FLOW要素所關(guān)聯(lián)的對端IP_P0RT要素進行P2P標(biāo)記�����,其中����,根據(jù)IP要素的P2P標(biāo)記以及被標(biāo)記為P2P的IP要素在預(yù)設(shè)時間內(nèi)的連接數(shù)�����,確定FLOW要素是否被標(biāo)記為P2P�����。
[0051]具體地�����,由于采用IP_P0RT為判定要素進行P2P識別時,其誤判較少且識別較為準(zhǔn)確����。因此,當(dāng)原始的地址端口對分析技術(shù)判定某一 IP_P0RT要素為P2P時�,將此次的判定結(jié)果傳遞至其他要素,即將IP_P0RT要素本身及其相關(guān)聯(lián)的一個IP要素以及所屬FLOW要素所關(guān)聯(lián)的對端IP_P0RT要素均標(biāo)記為P2P���。
[0052]另外���,從P2P資源獲取者的角度來說,可以做一番與地址端口對分析技術(shù)類似的分析��。即當(dāng)某一主機連接外部多個主機資源的時候,如果外部P2P主機也是通過隨機廣播的固定端口來提供資源�,那么下載主機所關(guān)聯(lián)的IP數(shù)與端口數(shù)也大致相當(dāng)��。
[0053]因此����,對于IP這個判定要素來說,用其直接判斷網(wǎng)絡(luò)的P2P往往是不妥當(dāng)?shù)?���,因為一個主機上常常既存在P2P���,又存在非P2P,且IP主機的P2P屬性也隨時間的變化而不斷變化���。因此�����,為了充分的利用IP這一判定要素��,以實現(xiàn)更準(zhǔn)確的判別���,有必要在IP與FLOW這兩種判定要素的標(biāo)記信息上建立一定的聯(lián)系。一般來說�,由于關(guān)聯(lián)了大量IP地址,而P2P主機的網(wǎng)絡(luò)連接數(shù)又非常大�����,連接的建立與更新非常頻繁��,在此種情況下新增的連接往往具備P2P屬性,因此��,通過利用被標(biāo)記為P2P的IP來標(biāo)記FLOW這一判定要素的標(biāo)記信息����。
[0054]S230:根據(jù)FLOW要素或者所述IP_P0RT要素對網(wǎng)絡(luò)會話進行P2P識別,其中����,在一條網(wǎng)絡(luò)會話中,如果FLOW要素或者IP_P0RT要素與IP_P0RT要素所屬的FLOW要素所關(guān)聯(lián)的對端IP_P0RT要素均被標(biāo)記為P2P����,則將此條網(wǎng)絡(luò)會話標(biāo)記為P2P會話。也就是說��,在一條網(wǎng)絡(luò)會話中����,如果與該網(wǎng)絡(luò)會話相關(guān)的FLOW要素,或者與該條網(wǎng)絡(luò)會話相關(guān)的兩個IP_PORT要素均被標(biāo)記為P2P�,那么此條網(wǎng)絡(luò)會話即為P2P會話��。
[0055]另外�,本發(fā)明提供的基于多元判定要素的P2P識別方法,還包括通過預(yù)設(shè)的更新時間更新IP要素、IP_P0RT要素和FLOW要素的P2P標(biāo)記��,即通過更新計時器更新IP要素���、IP_P0RT要素和FLOW要素的P2P標(biāo)記�。
[0056]也就是說����,各HASH表中所有判定要素的P2P標(biāo)記將被定時更新,如果一個判定要素符合更新規(guī)則�,則將該要素標(biāo)記為P2P,并更新其標(biāo)記時間���,在超時的時候取消其標(biāo)記�����。
[0057]具體地�,考慮從指定IP_P0RT上發(fā)起的所有對端IP_P0RT�,統(tǒng)計其不同的IP數(shù)與port數(shù),如果兩個值均大于某一定值(例如大于10)�,且差值小于兩者的最小值,則將該IP_PORT及其所有對端IP_P0RT標(biāo)記為P2P�����。其中,為了將在更新IP_P0RT時提及的IP數(shù)與PORT數(shù)與在更新IP的標(biāo)記信息時所提及的IP數(shù)與PORT數(shù)相區(qū)分����。因此,在本發(fā)明中�����,將更新IP_P0RT的標(biāo)記信息時所提及的IP數(shù)與PORT數(shù)用第一 IP數(shù)與第一 PORT數(shù)表示�,將更新IP的標(biāo)記信息時所提及的IP數(shù)與PORT數(shù)用第二 IP數(shù)與第二 PORT數(shù)表示。
[0058]也就是說��,在更新IP_P0RT要素的P2P標(biāo)記的過程中�,統(tǒng)計從指定IP_P0RT上發(fā)起網(wǎng)絡(luò)會話的所有對端IP_P0RT的不同的第一 IP數(shù)與第一 PORT數(shù),如果第一 IP數(shù)與第一PORT數(shù)均大于設(shè)定的值���,且第一 IP數(shù)與第一 PORT數(shù)的差值小于第一 IP數(shù)與第一 PORT數(shù)之中的最小值���,則將IP_P0RT要素標(biāo)記為P2P。
[0059]在更新IP這一判定要素的標(biāo)記信息時��,考慮指定IP發(fā)起的所有FLOW����,統(tǒng)計對端所有不同的IP數(shù)與port數(shù),如果這兩個值均大于某一定值(例如大于50)�����,且差值小于兩者的最小值��,則將該IP要素標(biāo)記為P2P ;或者在上述IP_P0RT這一判定要素更新時�����,將標(biāo)記為P2P的IP_P0RT所關(guān)聯(lián)的IP也標(biāo)記為P2P�。
[0060]也就是說,在更新IP要素的P2P標(biāo)記的過程中���,統(tǒng)計從指定IP發(fā)起網(wǎng)絡(luò)會話的所有FLOW的對端的不同第二 IP數(shù)與第二 PORT數(shù)����,如果第二 IP數(shù)與第二 PORT數(shù)均大于設(shè)定的值���,且第二 IP數(shù)與第二 PORT數(shù)的差值小于第二 IP數(shù)與第二 PORT數(shù)之中的最小值�,則將此IP要素標(biāo)記為P2P ;或者將標(biāo)記為P2P的IP_P0RT要素所關(guān)聯(lián)的IP要素標(biāo)記為P2P�����。
[0061]在更新FLOW這一判定要素時,考慮任意一個標(biāo)記為P2P的IP在過去5秒內(nèi)的連接情況���,如果連續(xù)5秒以上總連接數(shù)均超過500�,則將其間新增連接的FLOW標(biāo)記為P2P��。
[0062]也就是說����,在更新FLOW的P2P標(biāo)記的過程中,統(tǒng)計任一標(biāo)記為P2P的IP要素在預(yù)設(shè)時間內(nèi)的連接數(shù)�����,如果所統(tǒng)計的連接數(shù)超過設(shè)定值���,則將在預(yù)設(shè)時間內(nèi)所增加的連接的FLOW要素標(biāo)記為P2P�����。
[0063]通過圖2所示的流程可以看出����,本發(fā)明通過對P2P識別的判定要素的擴展,利用上述三種判定要素����,以及上述判定要素之間的關(guān)聯(lián)關(guān)系和這三種要素的P2P標(biāo)記��,對一條網(wǎng)絡(luò)會話進行P2P識別����,在打破單一判定要素限制的同時,提高多協(xié)議多應(yīng)用流量集的網(wǎng)絡(luò)環(huán)境下的P2P識別的準(zhǔn)確率����。
[0064]為了更為詳細(xì)的描述本發(fā)明提供的基于多元判定要素的P2P識別方法,作為本發(fā)明的一個示例�,圖3示出了根據(jù)本發(fā)明實施例的P2P識別流程。如圖3所示:
[0065]S301:網(wǎng)絡(luò)流量包輸入�����;
[0066]S302:獲取相對應(yīng)的網(wǎng)絡(luò)會話結(jié)構(gòu)體����,即網(wǎng)絡(luò)會話所包括的一個FLOW、兩個IP_PORT和兩個IP �;
[0067]S303:是否相關(guān)的兩個IP_P0RT均被標(biāo)記為P2P�,如果是進入步驟S304��,否則進入步驟S305 ����;
[0068]S304:將此條網(wǎng)絡(luò)會話標(biāo)記為P2P會話;
[0069]S305:是否相關(guān)的FLOW被標(biāo)記為P2P�,如果是進入步驟S306,否則進入步驟S307 �;
[0070]S306:將此條網(wǎng)絡(luò)會話標(biāo)記為P2P會話;
[0071]S307:是否為網(wǎng)絡(luò)會話的首包�����,如果是執(zhí)行步驟S308?S310�,否則進入步驟S311
[0072]S308:為判定要素關(guān)聯(lián)表添加關(guān)聯(lián)信息;
[0073]S309:為源端IP_P0RT要素添加目的端IP與PORT信息�����;
[0074]S310:為源端IP要素更新總連接數(shù)并添加目的端IP與PORT信息����;
[0075]S311:更新計時器是否超時,如果是執(zhí)行步驟S312?S315,否則執(zhí)行步驟S316 �����;
[0076]S312:遍歷IP_P0RT要素表����,根據(jù)記錄的IP與PORT信息更新本IP_P0RT要素與相關(guān)IP要素的P2P標(biāo)記;
[0077]S313:遍歷IP要素表���,根據(jù)記錄的IP與PORT信息更新本IP要素的P2P標(biāo)記;
[0078]S314:遍歷FLOW要素表�����,根據(jù)FLOW關(guān)聯(lián)的IP要素連接數(shù)記錄更新本FLOW要素的P2P標(biāo)記��,同時刪除或變更超時的各個關(guān)聯(lián)結(jié)點���;[0079]S315:重設(shè)更新計時器����;
[0080]S316:結(jié)束�����,以處理下一個網(wǎng)絡(luò)數(shù)據(jù)包。
[0081]通過圖3所示的流程可以看出����,由于本發(fā)明增加了多種判定要素,綜合考慮了網(wǎng)絡(luò)資源提供者和資源獲取者的相關(guān)特征��,因此在多協(xié)議�、多應(yīng)用流量集的實際網(wǎng)絡(luò)環(huán)境中,其具有更新的識別準(zhǔn)確度�����。
[0082]為了證明上述方法的有效性�,在本發(fā)明的一個示例中,通過在網(wǎng)絡(luò)上抓取IG的HTTP流量(無NAT影響)�����,并在某固定主機上抓取5種P2P流量進行實驗����。這5種P2P流量分別是bitcomnet流量、bitcomnet強制加密流量����、pplive流量�、ppstream流量以及thunder流量���。每種P2P流量抓取大約52萬個包��,且抓取時保證在大致同一時間段����,擁有流暢的網(wǎng)絡(luò)環(huán)境并且下載資源充足�����。我們利用流量的檢驗和字段標(biāo)記流量屬性���,并將上述IG的HTTP流量與5種P2P流量整合成I個2.7G的測試數(shù)據(jù)包,整合的方法為在不同的時間分別插入P2P包�。其中,插入P2P包的時機為IP的更改模擬真實的P2P使用者一邊瀏覽網(wǎng)頁一邊開啟P2P服務(wù)同時進行�。
[0083]經(jīng)過測試,原始地址端口對分析技術(shù)在本測試集上識別的P2P包準(zhǔn)確率僅為59%��,非P2P的包準(zhǔn)確率為100%�。而如果采用本發(fā)明提供的方法,P2P包的準(zhǔn)確率達(dá)到了 94%,非P2P的包準(zhǔn)確率為97%�,可以看出,本發(fā)明對P2P包識別的準(zhǔn)確率大幅提高了 45%�,而非P2P的包準(zhǔn)確率僅僅下降了 3%。如果用本文方法單純測試IG的HTTP包��,則誤判率為0����,這說明,
2.7G測試包中的誤判均為P2P模擬的使用者產(chǎn)生���。這種輕微誤判(3%)相當(dāng)于對P2P使用者的懲罰性措施��,是可以接受的����。該項測試在多協(xié)議多應(yīng)用的流量集下進行�����,能夠取得較好的識別效果��,充分體現(xiàn)各個判定要素優(yōu)勢互補的良好效應(yīng)��。
[0084]與上述方法相對應(yīng),本發(fā)明還提供一種基于多元判定要素的P2P識別系統(tǒng)���。圖4示出了根據(jù)本發(fā)明實施例的基于多元判定要素的P2P識別系統(tǒng)的邏輯結(jié)構(gòu)����。
[0085]如圖4所示�����,本發(fā)明提供的基于多元判定要素的P2P識別系統(tǒng)400包括記錄單元410���、標(biāo)記單元420和識別單元430�����。
[0086]其中�,記錄單元410用于通過HASH表分別記錄網(wǎng)絡(luò)會話中每個節(jié)點的IP要素�、IP.PORT要素和FLOW要素�,其中,IP要素包括源端IP與目的端IP ���;IP_P0RT要素包括源端IP.PORT與目的端IP_P0RT ����;FL0ff要素包括源端IP、目的端IP�����、源端的端口����、目的端的端口 ;標(biāo)記單元420用于以IP_P0RT要素為標(biāo)記條件�����,對IP_P0RT要素�、與IP_P0RT要素相關(guān)聯(lián)的IP要素、以及IP_P0RT要素所屬的FLOW要素所關(guān)聯(lián)的對端IP_P0RT要素進行P2P標(biāo)記����,其中,根據(jù)IP要素的P2P標(biāo)記以及被標(biāo)記為P2P的IP要素在預(yù)設(shè)時間內(nèi)的連接數(shù)���,確定FLOW要素是否被標(biāo)記為P2P ;識別單元430用于根據(jù)FLOW要素或者IP_P0RT要素對網(wǎng)絡(luò)會話進行P2P識別��;其中�,在一條網(wǎng)絡(luò)會話中,如果FLOW要素或者IP_P0RT要素與IP_P0RT要素所屬的FLOW要素所關(guān)聯(lián)的對端IP_P0RT要素均被標(biāo)記為P2P���,則將該網(wǎng)絡(luò)會話識別為P2P會話����。其中�����,本發(fā)明提供的基于多元判定要素的P2P識別系統(tǒng)進一步包括�,標(biāo)記更新單元(圖中未示出)用于通過預(yù)設(shè)的更新時間更新IP要素、IP_P0RT要素和FLOW要素的P2P標(biāo)記�。
[0087]通過本發(fā)明提供的基于多元判定要素的P2P識別方法及系統(tǒng),通過結(jié)合多種判定要素���,綜合網(wǎng)絡(luò)資源提供者和資源獲取者的相關(guān)特征���,能夠在多協(xié)議、多應(yīng)用流量集的實際網(wǎng)絡(luò)環(huán)境下���,提高P2P識別的準(zhǔn)確率。
[0088]如上參照附圖以示例的方式描述了根據(jù)本發(fā)明的基于多元判定要素的P2P識別方法及系統(tǒng)�����。但是,本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解�,對于上述本發(fā)明所提出的基于多元判定要素的P2P識別方法及系統(tǒng),還可以在不脫離本
【發(fā)明內(nèi)容】
的基礎(chǔ)上做出各種改進�����。因此����,本發(fā)明的保護范圍應(yīng)當(dāng)由所附的權(quán)利要求書的內(nèi)容確定。
【權(quán)利要求】
1.一種基于多元判定要素的P2P識別方法���,包括: 通過HASH表分別記錄網(wǎng)絡(luò)會話中每個節(jié)點的IP要素����、IP_PORT要素和FLOW要素�,其中, 所述IP要素包括源端IP與目的端IP ����; 所述IP_P0RT要素包括源端IP_P0RT與目的端IP_P0RT ; 所述FLOW要素包括源端IP��、目的端IP、源端的端口�、目的端的端口 ; 以所述IP_P0RT要素為標(biāo)記條件�,對所述IP_P0RT要素、與所述IP_P0RT要素相關(guān)聯(lián)的IP要素�����、以及所述IP_P0RT要素所屬的FLOW要素所關(guān)聯(lián)的對端IP_P0RT要素進行P2P標(biāo)記�����;其中���,根據(jù)所述IP要素的P2P標(biāo)記以及被標(biāo)記為P2P的IP要素在預(yù)設(shè)時間內(nèi)的連接數(shù)����,確定所述FLOW要素是否被標(biāo)記為P2P ��; 根據(jù)所述FLOW要素或者所述IP_P0RT要素對網(wǎng)絡(luò)會話進行P2P識別���;其中���, 在一條網(wǎng)絡(luò)會話中�,如果所述FLOW要素或者所述IP_P0RT要素與所述IP_P0RT要素所屬的FLOW要素所關(guān)聯(lián)的對端IP_P0RT要素均被標(biāo)記為P2P���,則將所述網(wǎng)絡(luò)會話識別為P2P會話。
2.如權(quán)利要求1所述的基于多元判定要素的P2P識別方法��,還包括�,通過預(yù)設(shè)的更新時間更新所述IP要素、所述IP_P0RT要素和所述FLOW要素的P2P標(biāo)記�����。
3.如權(quán)利要求2 所述的基于多元判定要素的P2P識別方法���,其中�����,在更新所述IP_P0RT要素的P2P標(biāo)記的過程中��, 統(tǒng)計從指定IP_P0RT上發(fā)起網(wǎng)絡(luò)會話的所有對端IP_P0RT的不同的第一 IP數(shù)與第一PORT數(shù)�����,如果所述第一 IP數(shù)與所述第一 PORT數(shù)均大于設(shè)定的值��,且所述第一 IP數(shù)與所述第一 PORT數(shù)的差值小于所述第一 IP數(shù)與所述第一 PORT數(shù)之中的最小值��,則將所述IP_PORT要素標(biāo)記為P2P��。
4.如權(quán)利要求2所述的基于多元判定要素的P2P識別方法����,其中,在更新所述IP要素的P2P標(biāo)記的過程中���, 統(tǒng)計從指定IP發(fā)起網(wǎng)絡(luò)會話的所有FLOW的對端的不同第二 IP數(shù)與第二 PORT數(shù)��,如果所述第二 IP數(shù)與所述第二 PORT數(shù)均大于設(shè)定的值�,且所述第二 IP數(shù)與所述第二 PORT數(shù)的差值小于所述第二 IP數(shù)與所述第二 PORT數(shù)之中的最小值�����,則將所述IP要素標(biāo)記為P2P ���;或者��,將標(biāo)記為P2P的所述IP_P0RT要素所關(guān)聯(lián)的IP要素標(biāo)記為P2P���。
5.如權(quán)利要求2所述的基于多元判定要素的P2P識別方法���,其中,在更新所述FLOW要素的P2P標(biāo)記的過程中�, 統(tǒng)計任一標(biāo)記為P2P的所述IP要素在預(yù)設(shè)時間內(nèi)的連接數(shù)����,如果所統(tǒng)計的連接數(shù)超過設(shè)定值,則將在預(yù)設(shè)時間內(nèi)所增加的連接的FLOW要素標(biāo)記為P2P����。
6.一種基于多元判定要素的P2P識別系統(tǒng),包括: 記錄單元�����,用于通過HASH表分別記錄網(wǎng)絡(luò)會話中每個節(jié)點的IP要素����、IP_P0RT要素和FLOW要素,其中��, 所述IP要素包括源端IP與目的端IP ����; 所述IP_P0RT要素包括源端IP_P0RT與目的端IP_P0RT �; 所述FLOW要素包括源端IP���、目的端IP��、源端的端口���、目的端的端口 ; 標(biāo)記單元��,用于以所述IP_P0RT要素為標(biāo)記條件��,對所述IP_P0RT要素�����、與所述IP_P0RT要素相關(guān)聯(lián)的IP要素��、以及所述IP_PORT要素所屬的FLOW要素所關(guān)聯(lián)的對端IP_P0RT要素進行P2P標(biāo)記�����;其中����,根據(jù)所述IP要素的P2P標(biāo)記以及被標(biāo)記為P2P的IP要素在預(yù)設(shè)時間內(nèi)的連接數(shù)���,確定所述FLOW要素是否被標(biāo)記為P2P ; 識別單元��,用于根據(jù)所述FLOW要素或者所述IP_P0RT要素對網(wǎng)絡(luò)會話進行P2P識別����;其中�,在一條網(wǎng)絡(luò)會話中,如果所述FLOW要素或者所述IP_P0RT要素與所述IP_P0RT要素所屬的FLOW要素所關(guān)聯(lián)的對端IP_P0RT要素均被標(biāo)記為P2P���,則將所述網(wǎng)絡(luò)會話識別為P2P會話�����。
7.如權(quán)利要求6所述的基于多元判定要素的P2P識別系統(tǒng)���,進一步包括:標(biāo)記更新單元,用于通過預(yù)設(shè)的更新時間更新所述IP要素�、所述IP_P0RT要素和所述FLOW要素的P2PT 己 O
【文檔編號】H04L29/08GK103731406SQ201310437128
【公開日】2014年4月16日 申請日期:2013年9月22日 優(yōu)先權(quán)日:2013年9月22日
【發(fā)明者】孫浩, 金健 申請人:東軟集團股份有限公司